内部不正とは? よくあるパターンや原因、対策を解説
企業で発生する情報漏洩の中でも、特に多いのは中途退職者や現職従業員による内部不正の事例です。内部不正はどのような原因で起こり、発生を抑制するためにはどのような対策が必要となるのでしょうか。
本記事では日本の内部不正の現状やよくあるパターン、原因のほか、内部不正防止の基本5原則、代表的な対策について解説します。
内部不正とは、企業の関係者による重要情報の持ち出し・漏洩・消失のこと
内部不正とは、中途退職者や現職従業員、業務委託先といった企業の関係者が、社内の個人情報や営業情報、技術情報などの重要な情報を持ち出したり、社外に漏洩させたり、消失させたりすることです。故意による行動でもミスでも、関係者によるものであれば内部不正となります。
内部不正が発生すると、被害者や関係企業への損害賠償、刑事罰の適用、社会的な信用の失墜などが生じるリスクがあるため、経営に多大な影響を与えかねません。
日本の内部不正の現状
情報処理推進機構(IPA)が選定した「情報セキュリティ10大脅威 2023」によると、企業などの組織が情報セキュリティ上で注意しなければならない脅威の第4位に、内部不正による情報漏洩が挙げられています。また、IPAの「企業における営業秘密管理に関する実態調査 2020 調査実施報告書」P.19~20によると、少なくとも1回以上「明らかに情報漏洩があった」と答えた企業は全体の3.1%で、「おそらく情報漏洩があった」という回答も含めると5%以上にもなるということです。
従業員規模別に見ると、「情報漏洩の可能性がある事例があった」と答えた企業は301~1,000人規模で5.3%、1,001~3,000人規模で8.1%、3,001人以上の規模で15.6%と、企業規模が大きいほど発生確率も高いという傾向があることがわかります。
内部不正のパターン
IPAの「企業における営業秘密管理に関する実態調査 2020 調査実施報告書」P.27~28によると、情報漏洩のルートは中途退職者による漏洩が36.3%、現職従業員の誤操作・誤認などによる漏洩が21.2%、現職従業員などのルール不徹底による漏洩が19.5%となっており、上位3位までが内部不正によって引き起こされています。中途退職者や現職従業員などが行う内部不正のパターンとしては、下記の3つが代表的です。
退職後のアカウント情報の悪用による情報漏洩
中途退職者による内部不正は、在籍時のアカウントの不正利用によって引き起こされます。退職後も従業員のアカウント情報を削除していなかったことから、不正侵入を許してしまうパターンは少なくありません。
アクセス権限の悪用による情報漏洩
現職従業員、委託先従業員などの関係者が業務上許されたアクセス権限を不正に使用して、情報を持ち出すのは内部不正の代表的なパターンです。社外への売却などの不正な目的で情報にアクセスし、USBメモリやクラウドストレージへの転送、印刷といった方法で情報を持ち出します。
現職従業員などの操作ミスやルールの不徹底
現職従業員の意図していない操作ミスや、情報漏洩を防ぐためのルールの不徹底によって内部不正が発生することもあります。クラウドサービスでの情報公開範囲の設定ミスや、メールの誤送信などによって第三者に情報が漏れてしまうケースなどが典型例です。
内部不正が起きやすくなる要因
内部不正は、心理面・環境面の要因が揃っていると発生しやすくなります。その要因は、下記のように人的要因と技術的要因に分類できます。
人的要因
内部不正の人的要因とは、情報漏洩のきっかけとなる、企業関係者の心理的な要因のことです。
「動機」「機会」「正当化」の3要素があり、これらすべての要素が揃うと、内部不正が発生しやすくなると考えられています。
動機
動機とは、内部不正を働きたくなるような誘因のことです。金銭的な動機もあれば、「業務多忙や待遇への不満という理由から、企業に損害を与えたい」という動機などもあります。
機会
機会とは、内部不正を働ける状況が整ってしまっていることです。重要情報の管理者が1人しかいない場合や、監視体制や情報管理体制が不十分である場合は、この機会という要素が揃ってしまっています。
正当化
正当化とは、内部不正を働いてしまうのも仕方ない、と思ってしまう心理状態のことです。「企業側が私を不当に扱ったのだから、内部不正を働いて多少企業に損害を与えてもいいだろう」「この程度の情報漏洩なら大きな問題にはならないはずだ」などと考えられるような状態だと、内部不正が起こりやすくなります。
技術的要因
技術的要因とは、内部不正を防ぐためのシステムが適切に構築できていないことです。アカウント情報の管理が不十分で退職者の不正アクセスが可能な状態になっているケースや、機密情報へのアクセス制限が不十分なケースなどが該当します。操作ログの追跡ができないような場合も、内部不正が発生しても原因を調査できない状態になってしまっているため、それが従業員などに知られてしまえば内部不正を招く要因になりかねません。
内部不正防止の基本5原則
IPAが公表している「組織における内部不正防止ガイドライン」P.124以下では、内部不正防止の基本5原則が提示されています。
下記の5つの原則を意識して、内部不正を防げる社内体制を整えることが必要です。
- 内部不正防止の基本5原則
-
- 犯行を難しくする(やりにくくする):対策を強化することで犯罪行為を難しくする
- 捕まるリスクを高める(やると見つかる):管理や監視を強化することで捕まるリスクを高める
- 犯行の見返りを減らす(割に合わない):標的を隠す・排除する、利益を得にくくすることで犯行を防ぐ
- 犯行の誘因を減らす(その気にさせない):犯罪を行う気持ちにさせないことで犯行を抑止する
- 犯罪の弁明をさせない(言い訳させない):犯行者による自らの行為の正当化理由を排除する
現状の社内体制で上記の5原則に対応できているか、見直すことをお勧めします。重要なのは、情報の持ち出しなどを防ぐための管理・監視体制などを作るだけでなく、犯行につながる動機の発生を防ぐための環境整備や、情報の扱い方に関する基本方針を策定し周知することによって、心理的に犯罪を行いにくくする必要もあるということです。
内部不正の代表的な対策
企業が内部不正を防ぐためにできることは、多種多様です。多くの企業で有効な、代表的な対策としては、下記の3点が挙げられます。
アクセス権限の管理
内部不正を防ぐために重要になるのが、企業の重要な情報にアクセスできる人物を制限するという対策です。従業員ごとにアクセスできる情報の範囲を変えて、業務に不必要な情報にはアクセスできないようにします。退職者のアクセス権限の設定も、速やかに削除しなければなりません。多要素認証などを導入して、権限外の情報へのアクセス難度を高める方法も有効です。
また、入退室制限などを設けて、物理的に情報にアクセスできないようにすることも効果的です。さらに、保管している不要なデータや記憶媒体を破棄することも、内部からの不正アクセス対策になります。
- 併せて読みたい
情報の持ち出しにつながる行為の監視・制御
重要情報へのアクセスを監視して、印刷や記録媒体へのコピーといった不正な操作が行われようとしている場合にその操作を制限したり、アクセスログを追跡したりできるようなシステムを導入することで、情報の持ち出しに即座に対処できるようになります。重要情報の保管場所を集中させ、その保管場所への入退室記録を管理することや、重要情報が保存された端末の持ち出し記録を管理することも効果的な対策です。不用意な情報の持ち出しができないように、状況に応じて制限をかけましょう。
- 併せて読みたい
情報管理のルール策定・従業員教育
社内でセキュリティ対策に関する方針やルールが定められておらず、従業員への教育が不十分なことも、内部不正のリスクを高めてしまいます。ルールを策定した上で、すべての従業員への周知を徹底し、定期的にセキュリティ教育を実施し、内部不正を正当化できないような状況を整えてください。情報の取り扱い手順自体に関するルールももちろん重要ですが、例えば、紛失の危険性を考慮して重要情報の持ち運びは飲酒の予定がない場合に限定するなど、リスクが高まる場面を想定したルール作りが必要になります。
また、内部不正は業務の忙しさや評価・処遇への不満によって起こるケースもあるため、労働環境の改善も重要です。従業員が内部不正を働きたくなるような心理状態にさせないためにも、公正な人事評価を実現し、円滑なコミュニケーションができる環境を整備してください。動機や正当化といった、内部不正の人的要因をできるだけ排除するような対策が重要です。
内部不正は、ログの監視やアクセス制限で防ごう
内部不正を防止するためには、ログの監視やアクセス制限を実施して、不正やミスが起きにくくなる環境を整えなければなりません。ログ監視やアクセス制限が不十分だと感じる場合は、情報漏洩への適切な対策ができるツールを活用するのがお勧めです。
インターコムの情報漏洩対策ツール「MaLion」シリーズは、セキュリティポリシー(パソコンの操作制御ルール)設定やポリシー違反者への警告通知、外部デバイスの監視・制御、送受信メール監視、ファイルアクセス監視・制限といった内部不正対策を強化できる様々な機能を搭載しています。内部不正対策を強化したいとお考えの場合は、ぜひ「MaLion」シリーズの導入をご検討ください。